Найти тему
Integral Security
34 подписчика

«Кто ты, воин?» SOC vs CERT. Объясняем на пальцах

47
8 мин

Мониторинг и реагирование на ИБ-инциденты — это основа киберустойчивости современных компаний и государственных организаций. При этом обеспечение информационной безопасности в централизованной форме с участием компетентных специалистов решает сразу целый ряд проблем, которые могут затронуть организацию любой направленности и масштаба. Сегодня расскажем, что такое SOC и СERT, зачем они нужны, чем отличаются, что за люди там работают и чем занимаются, а также немного коснемся перспектив.

1. Что такое SOC?

SOC (Security Operations Center) – это структурное подразделение организации, отвечающее за оперативный мониторинг информационной среды и предотвращение киберинцидентов.

Основными целями Центра являются: минимизация воздействия кибератак и их повторения, обеспечение конфиденциальности данных, целостность и доступность информационных активов.

Специалисты SOC собирают и анализируют данные из различных источников информационной инфраструктуры. При обнаружении подозрительной активности оповещают уполномоченных сотрудников организации об инцидентах информационной безопасности или иных происшествиях и принимают меры для их предотвращения.

-2

2. Функции SOC

В сферу ответственности центра входит:

  • Активный мониторинг информационной среды и сбор данных об инцидентах, с целью раннего обнаружения и предотвращения кибератак, а также минимизации их последствий.
  • Анализ подозрительных событий для классификации инцидентов по характеру и степени опасности, установления мотива злоумышленников и выработку предложений по оповещению и реагированию на выявленные киберугрозы.
  • Реагирование на угрозы – оперативное принятие мер по устранению и минимизации ущерба.
  • Оказание помощи в устранении последствий инцидента и восстановлении пострадавших систем, файлов и так далее.
  • Расследование инцидентов – участие в поиске причин киберинцидента, с целью исключения и предотвращения возможности повторения подобных событий в будущем.
  • Ведение реестра ресурсов организации, включая объекты входящие в контур безопасности предприятия и продукты информационной безопасности, используемые для защиты объектов.
  • Менеджмент соответствия требованиям – обеспечение соответствия приложений, инструментов и процессов безопасности государственным и международным требованиям регулирующим сферу безопасности данных, проверка систем и уведомление регулирующих и правоохранительных органов, а также частных лиц об утечках данных.

Функционал SOC может отличаться в зависимости от масштаба предприятия и его организационной структуры.

-3

3. Состав SOC

В зависимости от размера организации, штат центра может состоять из следующих специалистов:

  • Директор по реагированию на инциденты (только в крупных организациях) – отвечает за координацию обнаружения, анализа и противодействие киберинцидентам, а также восстановление пострадавших систем.
  • SOC-менеджерподчиняется директору по информационной безопасности (Chief Information Security Officer, CISO). В обязанности входит контроль персонала, управление операциями, обучение новых сотрудников и управление финансами.
  • Инженеры по безопасности – поддерживают работоспособность систем безопасности организации, включая проектирование архитектуры безопасности, исследование, внедрение и поддержку решений безопасности.
  • Аналитики безопасностиотвечают за оперативное реагирование на инциденты, выявление угроз, определение их приоритетности и принятие мер по противодействию.
  • Охотники за угрозами (как правило, самые опытные аналитики) – отвечают за превентивное обнаружение киберугроз, которые не могут обнаружить автоматизированные поисковые системы, и выработку решений по противодействию им.
  • Судебные аналитики (в крупных организациях) – проведение расследований произошедших кибератак, определение основных причин, поиск уязвимостей системы, нарушения политик безопасности и модели кибератак, с целью исключения возможности повторения аналогичного события в будущем.
-4

4. Инструменты и технологии, применяемые в SOC

  • Управление информацией о безопасности и событиями (Security information and event management, SIEM) – объединяет данные из нескольких решений безопасности и журналов киберинциндентов и используя анализ угроз и технологии на основе искусственного интеллекта, обеспечивает превентивное обнаружение негативно развивающихся событий, что позволяет реагировать на них, опережая действия злоумышленников.
  • Организация безопасности, автоматизация и реагирование (Security orchestration, automation, and response, SOAR) собирает и обрабатывает данные о событиях информационной безопасности из различных источников, автоматизируя процессы типовых сценариев реагирования на них.
  • Расширенное обнаружение и реагирование (Extended detection and response, XDR) – это класс систем информационной безопасности, предназначенных для автоматического упреждающего выявления угроз на разных уровнях информационной инфраструктуры, реагирования на них и противодействия сложным атакам.
  • Брандмауэр (Firewall) отслеживает входящий и исходящий трафик в информационной сети, разрешая или блокируя его основываясь на правилах безопасности, определенных SOC.
Про опыт использования Firewall в Китае мы писали ранее в сообществе VK. В группе мы регулярно публикуем актуальные материалы из мира информбезопасности, переводы зарубежных аналитических исследований, включая прогнозы тенденций будущего.
  • Управление журналами – часто входит в состав SIEM, регистрирует все оповещения, поступающие от каждого компонента системы (программного обеспечения, оборудования и конечных точек, работающих в организации), предоставляя информацию о сетевой активности.
  • Управление уязвимостями – выявляет незащищенные места системы, которыми может воспользоваться злоумышленник.
  • Аналитика поведения пользователей и объектов – инструмент безопасности, с использованием технологии искусственного интеллекта, для анализа данных, собранных с различных устройств, с целью выявления аномалий поведения пользователей и объектов.
-5

5. Организационные формы SOC

Большинство SOC функционируют круглосуточно семь дней в неделю.

Центры могут существовать в форме отдельного подразделения компании, в виде команды специалистов из разных отделов, совмещающих задачи SOC, аутсорсинговых специализированных компаний, предоставляющих услуги по удаленному мониторингу информационной среды и реагированию на киберугрозы. А также в виде трансграничных операционных центров безопасности, охватывающих несколько стран, которые контролируют глобальные угрозы безопасности и координируют деятельность сети региональных SOC.

6. Будущее центров управления безопасностью

Новые тенденции и технологии, которые будут определять будущее SOC, включают:

  • Искусственный интеллект и машинное обучение расширят возможности аналитиков, автоматизируя повседневные задачи, анализируя большие объемы данных и выявляя закономерности, которые указывают на киберугрозы, позволив сотрудникам сосредоточиться на стратегических действиях более высокого уровня и эффективно реагировать на инциденты.
  • Облачные SOC. По мере перехода организаций к облачным технологиям, возникает потребность в облачных SOC для защиты приложений, инфраструктуры и данных, сохраняя при этом гибкость и масштабируемость облака.

7. Что такое CERT?

CERT (Computer emergency response team – группа реагирования на компьютерные чрезвычайные ситуации) представляет собой группу экспертов по информационной безопасности, в обязанности которых входит защита информационной инфраструктуры, обнаружение и реагирование на масштабные киберинциденты, которые затрагивают национальную, региональную или отраслевую безопасность.

-6

В большинстве случаев CERT является основной организацией предоставляющей консультации и поддержку по вопросам обеспечения оптимальной безопасности цифровых систем и минимизации последствий от таких угроз, как вредоносное программное обеспечение, программы-вымогатели, «фишинговые» атаки и другие формы киберинцидентов.

8. Ключевые функции CERT

  • Мониторинг сетей цифровой инфраструктуры на предмет выявления вредоносной деятельности и возможных уязвимостей, которые могут быть использованы злоумышленниками;
  • Разработка политик и внедрение протоколов, определяющих общий подход к кибербезопасности. Проведение регулярных проверок, гарантирующих эффективную реализацию и соблюдение этих политик, обеспечивая надежную систему кибербезопасности;
  • Реагирование и управление инцидентами кибербезопасности, минимизируя последствия инцидента предлагая решения и методы восстановления системы;
  • Регулярное проведение учебных занятий и программ повышения осведомленности сотрудников заинтересованных организаций. Программы охватывают такие аспекты, как распознавание фишинговых писем, соблюдение политик паролей, защита конечных устройств и своевременное оповещение о подозрительных действиях в информационных сетях.
-7

9. Международное сотрудничество и обмен информацией

На сегодняшний день, практически во всех государствах мира созданы национальные CERT. В глобальной цифровой экосистеме киберугрозы вышли за рамки географических границ, что делает международное сотрудничество между CERT важнейшим аспектом мировой кибербезопасности. Сотрудничество заключается в обмене информацией о новых угрозах и уязвимостях, а также о стратегиях по минимизации их воздействия, с целью укрепления национальной киберсистемы.

Платформы обмена информацией и совместные усилия, такие как Форум групп реагирования на инциденты и безопасности (Forum of Incident Response and Security Teams, FIRST), облегчают это глобальное сотрудничество, создавая сеть, в которой CERT могут обмениваться важной информацией о кибербезопасности.

-8

10. CERT в развивающейся среде кибербезопасности

С ростом внедрения новых технологий, таких как Интернет вещей, 5G и искусственный интеллект, ландшафт киберугроз становится сложнее, поэтому CERT отводится важная роль в обеспечении безопасного внедрения этих технологий, понимании связанных с ними рисков и реализации стратегий их смягчения.

-9

Резюмируя вкратце, по сути SOC взаимодействует с CERT, либо может входить в его состав. Основным отличием этих подразделений является то, что специалисты CERT осуществляют свою деятельность по уже произошедшим фактам кибератак, выдавая организациям рекомендации и стратегии по защите информационной инфраструктуры. В то время как сотрудники SOC осуществляют эти мероприятия в реальном времени.

Больше полезной информации об ИТ и ИБ — в наших соцсетях:
Telegram
ВКонтакте
Одноклассники
vc.ru

Взгляните на эти темы
Бизнес и финансы
Инвестиции в недвижимость
Найти тему
Пенсия
Профессии и специальности
Роман Абрамович
Центральный банк
Ритейл
Nutella
Покупка недвижимости
Курс доллара
Бизнес и предпринимательство
Экономика
Уоррен Баффетт
Билл Гейтс
Экономика Японии
Инвестиции в криптовалюту
Инвестиционные стратегии
Цифровая экономика
Дефляция
Средний бизнес
Бизнес и финансы
1,13 млн интересуются